DB53-T 1238-2024 區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)應(yīng)用指南

53IDB53/T1238—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。DB53/T1120《區(qū)塊鏈跨境貿(mào)易服務(wù)應(yīng)用指南》、DB53/T1121《區(qū)塊鏈域名解析服務(wù)應(yīng)用指南》DB53/T1237《區(qū)塊鏈跨境貿(mào)易電子認(rèn)證服務(wù)應(yīng)用指南》、DB53/T1238《區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)應(yīng)用指南》等共同構(gòu)成支撐云南省區(qū)塊鏈產(chǎn)業(yè)發(fā)展的地方標(biāo)準(zhǔn)體系。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由云南省區(qū)塊鏈和數(shù)字科技標(biāo)準(zhǔn)化技術(shù)委員會（YNTC27）提出并歸口。本文件起草單位：云南財經(jīng)大學(xué)、云南省科學(xué)技術(shù)院、中國電子標(biāo)準(zhǔn)化研究院、中國（云南）自由貿(mào)易試驗區(qū)昆明片區(qū)管委會、昆明經(jīng)濟技術(shù)開發(fā)區(qū)管理委員會、中國電子口岸數(shù)據(jù)中心昆明分中心、云南電子商務(wù)發(fā)展中心、云南農(nóng)優(yōu)科技有限公司。本文件主要起草人：余益民、宋俊蓉、陳韜偉、趙進一、李鳴、趙文、李強、宋智明、王會源、王景藝、楊潛、黃興鑫、段正泰、薛云紅、劉建業(yè)、彭超、王貴文、林金海、陳宗懿、葉奕、溫珍穎、舒涵、余厚輝、葉燦、任志鑫、王國榮、高建、馮艷、代靈浩、朱賁、何豐澤、丁雯、袁園、劉丹、張秋、儲瑜谷、鄒李鞠靈、李翠萍。1DB53/T1238—2024區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)應(yīng)用指南本文件給出了區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)的應(yīng)用框架、服務(wù)原則、相關(guān)方和關(guān)鍵過程。本文件適用于組織和機構(gòu)建立、實施、保護和改進區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)，也為使用區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)應(yīng)用功能的相關(guān)應(yīng)用提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB53/T1120區(qū)塊鏈跨境貿(mào)易服務(wù)應(yīng)用指南DB53/T1121區(qū)塊鏈域名解析服務(wù)應(yīng)用指南ISO22739：2024區(qū)塊鏈與分布式記賬技術(shù)—詞匯（Blockchainanddistributedledgertechnologies—Vocabulary）3術(shù)語和定義DB53/T1120、DB53/T1121、ISO22739界定的術(shù)語和定義適用于本文件。3.1區(qū)塊鏈blockchain使用密碼技術(shù)將共識確認(rèn)過的區(qū)塊按順序追加而形成的分布式賬本。[來源：ISO22739：2024，3.6]3.2跨境數(shù)據(jù)流動cross-borderdataflow數(shù)據(jù)跨越國界的傳輸、處理與存儲，或者數(shù)據(jù)尚未跨越國界，但能夠被他國主體進行訪問。3.3智能合約smartcontract存儲在分布式記賬技術(shù)系統(tǒng)中的計算機程序，該程序的任何執(zhí)行結(jié)果都記錄在分布式賬本中。[來源：ISO22739：2024，3.88]3.4分布式身份標(biāo)識decentralizedidentifier由特定格式的字符串組成的，用來代表特定實體的數(shù)字身份。[來源：DB53/T1121-2022，3.9]3.52DB53/T1238—2024分布式身份標(biāo)識文檔decentralizedidentifierdocument一組用來描述分布式數(shù)字身份實體的數(shù)據(jù)，其中包括分布式身份標(biāo)識、公鑰和描述實體的其他屬性或聲明，分布式數(shù)字身份持有者可以通過該文檔來證明其身份。[來源：DB53/T1121-2022，3.10]3.6隱私計算privacycomputing在多方協(xié)作計算過程中，實現(xiàn)身份信息與數(shù)據(jù)信息的最少披露。3.7區(qū)塊鏈錢包blockchainwallet區(qū)塊鏈中的應(yīng)用程序或機制，用來生成、管理、存儲用戶的私鑰和公鑰或其他數(shù)字資產(chǎn)的工具。[來源：ISO22739：2024，3.100]3.8數(shù)據(jù)訪問控制令牌dataaccesstoken數(shù)據(jù)訪問權(quán)限的安全上下文描述。4縮略語下列縮略語適用于本文件：DID：分布式身份標(biāo)識（DecentralizedIdentifiers）VC：可驗證憑證（VerifiableCredential）NFT：非同質(zhì)化通證（Non-FungibleToken）5應(yīng)用框架區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)應(yīng)用的實施依賴于平臺，平臺宜包括相關(guān)方和關(guān)鍵過程，見圖1，應(yīng)用場景詳見附錄A。相關(guān)方包括數(shù)據(jù)主體、數(shù)據(jù)請求方、身份服務(wù)方、服務(wù)支持方和服務(wù)管理方。關(guān)鍵過程包括區(qū)塊鏈服務(wù)層、區(qū)塊鏈身份層、跨境數(shù)據(jù)處理層、跨境數(shù)據(jù)流動服務(wù)層、跨境數(shù)據(jù)流動管理層。區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)原則包括身份自主控制原則、數(shù)據(jù)自主控制原則、最少信息披露原則、隱私保護與安全原則、可管理原則。3DB53/T1238—2024圖1區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)應(yīng)用框架6服務(wù)原則6.1身份自主控制原則4DB53/T1238—2024用戶數(shù)字身份標(biāo)識、身份文檔及電子證照等身份信息宜由用戶自主創(chuàng)建、自主存儲及自主管理。用戶身份信息經(jīng)用戶授權(quán)方可共享，用戶數(shù)字身份及身份信息可自主增加、刪除和修改，并可與各國簽發(fā)的數(shù)字身份證書和電子證照進行綁定，實現(xiàn)數(shù)字身份的跨境互聯(lián)互通和電子認(rèn)證。6.2數(shù)據(jù)自主控制原則用戶擁有其數(shù)據(jù)的知情權(quán)、管理權(quán)和攜帶權(quán)。數(shù)據(jù)需求方宜經(jīng)過數(shù)據(jù)用戶授權(quán)方可訪問，數(shù)據(jù)具有可確權(quán)、不可篡改、可溯源和防抵賴的特性，并可通過可信平臺進行數(shù)據(jù)真實性和有效性驗證。6.3最少信息披露原則用戶僅需提供必要的身份信息與數(shù)據(jù)以獲取平臺的信息服務(wù)，數(shù)據(jù)可由區(qū)塊鏈平臺提供的隱私計算智能合約提交。同時，也要求在數(shù)據(jù)合法流動共享過程中，確保數(shù)據(jù)授權(quán)的最小權(quán)限以及最少泄露，并采用加密、脫敏和匿名化等技術(shù)手段避免明文數(shù)據(jù)傳輸。最少信息披露是實現(xiàn)數(shù)據(jù)主體隱私保護的重要支撐。6.4隱私保護和安全原則跨境數(shù)據(jù)流動過程中需要采取相應(yīng)的隱私保護和安全措施，以確保個人和企業(yè)的數(shù)據(jù)安全，避免個人隱私數(shù)據(jù)和企業(yè)商業(yè)秘密泄露。6.5可管理原則管理部門在對各參與主體進行監(jiān)控的前提下，不能獲取用戶或平臺數(shù)據(jù)。在發(fā)現(xiàn)違規(guī)情況時，通過對區(qū)塊鏈數(shù)據(jù)追溯實現(xiàn)管理。7相關(guān)方7.1數(shù)據(jù)主體數(shù)據(jù)主體包括在跨境數(shù)據(jù)流動的所有業(yè)務(wù)中，擁有數(shù)據(jù)所有權(quán)且進行發(fā)送的法人組織、非法人組織以及自然人。7.2數(shù)據(jù)請求方數(shù)據(jù)請求方包括在跨境數(shù)據(jù)流動的所有業(yè)務(wù)中，能夠確定數(shù)據(jù)被處理的目的、條件和方式并進行使用的法人組織、非法人組織以及自然人。7.3身份服務(wù)方身份服務(wù)方包括在跨境數(shù)據(jù)流動的所有業(yè)務(wù)中，提供身份認(rèn)證等相關(guān)服務(wù)的法人組織、非法人組織以及自然人。7.4服務(wù)支持方服務(wù)支持方包括為區(qū)塊鏈跨境數(shù)據(jù)流動提供應(yīng)用服務(wù)的平臺，提供應(yīng)用服務(wù)的建設(shè)、運維和管理等技術(shù)支持的相關(guān)方。7.5服務(wù)管理方5DB53/T1238—2024服務(wù)管理方負(fù)責(zé)監(jiān)督管理區(qū)塊鏈跨境數(shù)據(jù)流動中的所有業(yè)務(wù)，以保證區(qū)塊鏈服務(wù)合法合理的運行。8關(guān)鍵過程8.1區(qū)塊鏈服務(wù)層8.1.1功能鏈建立在建立跨境數(shù)據(jù)流動區(qū)塊鏈網(wǎng)絡(luò)時，可按需要建立身份鏈、數(shù)據(jù)鏈及管理鏈等多個功能鏈，并定義或選擇相應(yīng)的區(qū)塊鏈類型、共識機制、數(shù)據(jù)存儲及數(shù)據(jù)錢包等。8.1.2區(qū)塊鏈類型選擇各功能鏈可在保障數(shù)據(jù)安全的前提下依據(jù)具體需求選擇公鏈、聯(lián)盟鏈、私有鏈或混合鏈等不同的區(qū)塊鏈類型。8.1.3共識算法選擇各功能鏈的共識機制宜采用成熟的共識算法，確保一致性和有效性。8.1.4智能合約部署用戶各方按照共同約定的條件、規(guī)則及算法創(chuàng)建智能合約，并在區(qū)塊鏈平臺上進行部署。8.1.5分布式賬本創(chuàng)建在一組分布式記賬技術(shù)節(jié)點之間共享并使用共識機制同步的賬本。8.1.6用戶數(shù)據(jù)存儲用戶數(shù)據(jù)宜采用加密形式進行存儲，可選擇本地存儲、第三方存儲和分布式存儲等數(shù)據(jù)存儲系統(tǒng)。8.1.7數(shù)據(jù)控制網(wǎng)關(guān)設(shè)置數(shù)據(jù)控制網(wǎng)關(guān)是用于管理數(shù)據(jù)存儲的系統(tǒng)，可與區(qū)塊鏈平臺、跨境應(yīng)用平臺及用戶數(shù)據(jù)錢包進行交互，按照數(shù)據(jù)控制智能合約約定的數(shù)據(jù)操作策略進行數(shù)據(jù)存儲的操作。數(shù)據(jù)網(wǎng)關(guān)宜包括網(wǎng)關(guān)區(qū)塊鏈地址、分布式數(shù)字身份標(biāo)識及數(shù)據(jù)操作執(zhí)行模塊等。8.1.8用戶數(shù)據(jù)錢包創(chuàng)建用戶數(shù)據(jù)錢包是用戶管理其身份與數(shù)據(jù)的系統(tǒng)，宜包括用戶區(qū)塊鏈地址、分布式數(shù)字身份標(biāo)識、自主權(quán)數(shù)字證書、第三方身份證明、用戶數(shù)據(jù)資產(chǎn)、數(shù)據(jù)授權(quán)證明等，可與區(qū)塊鏈平臺、跨境應(yīng)用平臺及數(shù)據(jù)網(wǎng)關(guān)等進行交互。8.2區(qū)塊鏈身份層8.2.1分布式數(shù)字身份標(biāo)識注冊用戶可通過平臺自主注冊DID。8.2.2自主權(quán)數(shù)字證書創(chuàng)建6DB53/T1238—2024用戶可創(chuàng)建符合國內(nèi)標(biāo)準(zhǔn)密碼算法和國際標(biāo)準(zhǔn)密碼算法的自主權(quán)數(shù)字證書。8.2.3第三方身份證明綁定用戶可將其DID在平臺上與各身份服務(wù)方頒發(fā)的身份證明進行綁定，身份證明可為電子營業(yè)執(zhí)照、數(shù)字證書及VC等第三方機構(gòu)頒發(fā)的身份證明標(biāo)識或文件。8.2.4身份服務(wù)基礎(chǔ)庫構(gòu)建用戶可獨立或合作在平臺上構(gòu)建身份認(rèn)證的算法庫、規(guī)則庫、身份特征庫及身份狀態(tài)庫等基礎(chǔ)庫。8.2.5身份認(rèn)證智能合約創(chuàng)建用戶可獨立或合作在平臺上按照約定的算法與規(guī)則創(chuàng)建身份認(rèn)證智能合約，在身份特征庫及身份狀態(tài)庫等數(shù)據(jù)基礎(chǔ)上實現(xiàn)身份的跨境認(rèn)證。8.3跨境數(shù)據(jù)處理層8.3.1元數(shù)據(jù)創(chuàng)建用戶可采用其跨境數(shù)字身份創(chuàng)建跨境數(shù)據(jù)的元數(shù)據(jù)，元數(shù)據(jù)包括但不限于數(shù)據(jù)內(nèi)容、數(shù)據(jù)內(nèi)容哈希值、數(shù)據(jù)權(quán)憑證區(qū)塊鏈地址、數(shù)據(jù)資產(chǎn)憑證區(qū)塊鏈地址、數(shù)據(jù)資產(chǎn)交易地址、數(shù)據(jù)創(chuàng)建者DID、數(shù)據(jù)創(chuàng)建者電子簽名、元數(shù)據(jù)創(chuàng)建者DID、元數(shù)據(jù)創(chuàng)建者電子簽名等信息。8.3.2數(shù)據(jù)權(quán)可驗證憑證生成用戶可生成數(shù)據(jù)權(quán)可驗證憑證VC。VC包括數(shù)據(jù)所有權(quán)憑證和數(shù)據(jù)使用權(quán)憑證，宜包括憑證類型、憑證所有者DID、數(shù)據(jù)解密密鑰、憑證權(quán)限、憑證有效期、時間戳、憑證頒發(fā)者DID等。8.3.3數(shù)據(jù)資產(chǎn)憑證發(fā)行用戶可在區(qū)塊鏈平臺上發(fā)行相應(yīng)的數(shù)據(jù)資產(chǎn)憑證NFT。8.3.4數(shù)據(jù)訪問控制令牌生成用戶可生成相應(yīng)的數(shù)據(jù)訪問控制令牌。8.3.5數(shù)據(jù)服務(wù)基礎(chǔ)庫建立用戶可獨立或合作在平臺上構(gòu)建數(shù)據(jù)服務(wù)的算法庫、規(guī)則庫、策略庫及數(shù)據(jù)特征庫等。8.3.6數(shù)據(jù)訪問控制智能合約創(chuàng)建用戶可獨立或合作在平臺上按照約定的算法、規(guī)則及策略創(chuàng)建數(shù)據(jù)訪問控制智能合約，并基于訪問者身份、數(shù)據(jù)特征庫等實現(xiàn)數(shù)據(jù)的訪問控制。8.4跨境數(shù)據(jù)流動服務(wù)層8.4.1跨境數(shù)據(jù)請求數(shù)據(jù)請求方向數(shù)據(jù)主體提出數(shù)據(jù)請求，數(shù)據(jù)請求報文宜包括但不限于數(shù)據(jù)主體DID、請求內(nèi)容、數(shù)據(jù)請求方電子簽名、數(shù)據(jù)請求方DID等。7DB53/T1238—20248.4.2跨境數(shù)據(jù)授權(quán)數(shù)據(jù)主體宜在確保數(shù)據(jù)安全的前提下依據(jù)相關(guān)規(guī)定及具體需求對數(shù)據(jù)請求方頒發(fā)數(shù)據(jù)使用權(quán)憑證和數(shù)據(jù)訪問控制令牌。8.4.3跨境數(shù)據(jù)訪問請求數(shù)據(jù)請求方宜向數(shù)據(jù)控制網(wǎng)關(guān)提交跨境數(shù)據(jù)訪問請求報文，請求報文宜包括數(shù)據(jù)主體DID、數(shù)據(jù)使用權(quán)憑證、數(shù)據(jù)訪問控制令牌、數(shù)據(jù)請求方電子簽名及數(shù)據(jù)請求方DID等。數(shù)據(jù)控制網(wǎng)關(guān)宜通過區(qū)塊鏈平臺進行以下核驗：a)對數(shù)據(jù)請求方身份進行核驗；b)對數(shù)據(jù)請求報文進行核驗；c)對數(shù)據(jù)使用權(quán)憑證進行核驗；d)對數(shù)據(jù)訪問控制令牌進行核驗。8.4.4跨境數(shù)據(jù)訪問控制策略執(zhí)行數(shù)據(jù)控制網(wǎng)關(guān)觸發(fā)區(qū)塊鏈平臺上的數(shù)據(jù)管理智能合約，并按照數(shù)據(jù)訪問控制智能合約確定的數(shù)據(jù)訪問控制策略執(zhí)行相應(yīng)的數(shù)據(jù)訪問控制操作。8.4.5跨境數(shù)據(jù)傳輸與解密數(shù)據(jù)控制網(wǎng)關(guān)從數(shù)據(jù)存儲系統(tǒng)中將符合要求的加密數(shù)據(jù)提取出來，返回給數(shù)據(jù)請求方。數(shù)據(jù)請求方按照約定的加解密算法、策略及解密密鑰對數(shù)據(jù)進行解密。8.4.6跨境數(shù)據(jù)結(jié)果驗證數(shù)據(jù)請求方可通過區(qū)塊鏈平臺對接收的數(shù)據(jù)進行核驗，確保數(shù)據(jù)真實性和完整性。8.5跨境數(shù)據(jù)流動管理層8.5.1管理對象注冊管理對象宜在管理鏈上進行注冊。管理對象包括三類，一是平臺類管理對象，包括身份鏈、數(shù)據(jù)鏈、跨境應(yīng)用平臺及數(shù)據(jù)網(wǎng)關(guān)等；二是各相關(guān)方，包括數(shù)據(jù)發(fā)送方、數(shù)據(jù)接收方、數(shù)據(jù)使用方、身份服務(wù)方、服務(wù)支持方和服務(wù)管理方等；三是資源類管理對象，包括算法庫、規(guī)則庫、策略庫、智能合約、身份特征庫及數(shù)據(jù)特征庫等。8.5.2管理節(jié)點創(chuàng)建服務(wù)管理方可在平臺類管理對象中進行管理節(jié)點部署，以實時獲取跨境數(shù)據(jù)流動的相關(guān)數(shù)據(jù)。管理節(jié)點也宜作為管理鏈的節(jié)點。8.5.3管理基礎(chǔ)庫建立服務(wù)管理方可獨立或合作在平臺上構(gòu)建管理服務(wù)的算法庫、規(guī)則庫、策略庫及管理數(shù)據(jù)特征庫等。8.5.4管理智能合約創(chuàng)建8DB53/T1238—2024服務(wù)管理方可獨立或合作在平臺上按照約定的算法、規(guī)則及策略創(chuàng)建管理智能合約。智能合約可通過設(shè)定的算法、規(guī)則與策略對跨境數(shù)據(jù)流動行為及鏈上數(shù)據(jù)進行安全評估，對安全風(fēng)險因素進行識別。8.5.5管理跨境協(xié)作服務(wù)管理方可與境內(nèi)外管理機構(gòu)合作，在確保管理數(shù)據(jù)安全的前提下采用隱私計算、聯(lián)合建模及分布式機器學(xué)習(xí)等方式開展管理數(shù)據(jù)協(xié)作，共同構(gòu)建跨境數(shù)據(jù)流動管理模型，實現(xiàn)跨境管理協(xié)作。9DB53/T1238—2024區(qū)塊鏈跨境數(shù)據(jù)流動服務(wù)的典型應(yīng)用場景A.1面向跨境應(yīng)用平臺的跨境數(shù)據(jù)流動區(qū)塊鏈應(yīng)用場景面向跨境應(yīng)用平臺的跨境數(shù)據(jù)流動區(qū)塊鏈應(yīng)用場景見圖A.1，具體流程如下：a)用戶通過其數(shù)據(jù)錢包向跨境應(yīng)用平臺發(fā)送服務(wù)請求；b)跨境應(yīng)用平臺通過跨境數(shù)據(jù)流動區(qū)塊鏈平臺對用戶的跨境數(shù)字身份進行認(rèn)證；c)用戶向跨境應(yīng)用平臺發(fā)送數(shù)據(jù)使用權(quán)憑證和數(shù)據(jù)訪問控制令牌；d)跨境應(yīng)用平臺向數(shù)據(jù)控制網(wǎng)關(guān)提交數(shù)據(jù)使用權(quán)憑證和數(shù)據(jù)訪問控制令